30.000 QNAP NAS-systemen missen update voor kritiek beveiligingslek
Dertigduizend NAS-systemen van fabrikant QNAP missen een beveiligingsupdate voor een kritieke kwetsbaarheid waardoor een aanvaller de apparaten op afstand kan overnemen, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Afgelopen maandag waarschuwde QNAP voor een kritiek beveiligingslek in QTS 5.0.1 en QuTS hero h5.0.1, het besturingssysteem dat op de apparaten van de NAS-fabrikant draait.
Volgens Censys gaat het om een SQL-injection kwetsbaarheid waardoor een remote aanvaller kwaadaardige code op het NAS-systeem kan injecteren. Het beveiligingslek vereist geen authenticatie en zou eenvoudig te misbruiken zijn. Het probleem is verholpen in QTS 5.0.1.2234 build 20221201 en nieuwer en QuTS hero h5.0.1.2248 build 20221215 en nieuwer. Censys voerde een scan uit op internet en detecteerde meer dan 67.000 QNAP-systemen.
Van ruim dertigduizend NAS-apparaten was het mogelijk om het versienummer vast te stellen. Dan blijkt dat zo'n 550 QNAP-systemen up-to-date zijn, terwijl bijna 30.000 apparaten de kritieke beveiligingsupdate missen en daardoor risico lopen. De meeste kwetsbare systemen werden aangetroffen in de Verenigde Staten, Italië en Taiwan. In het verleden zijn kwetsbaarheden in de software van QNAP gebruikt voor ransomware-aanvallen op NAS-apparaten. Gebruikers wordt dan ook aangeraden hun systemen te updaten.
Het vervelende is dat ooit, in alle wijsheid, besloten is uit marketingoverwegingen een oplossing in te knutselen waarmee je op afstand kunt verbinden naar dat ding door hem direct aan het internet te hangen. Daar plukt men nu de vruchten van.
Ik gok alleen via de GUI, als je zo'n ding koopt is het niet dat je hem alleen kunt gebruiken door je gegevens achter te laten bij QNAP.
die alleen door betweters van het security.nl forum uitgeschakeld hoeft te worden. Dan heb je geen last van 30000
kwetsbare installaties (hopelijk)...
Bij Synology werkt dat wel goed, die hoor je dan ook niet steeds hierover.
die alleen door betweters van het security.nl forum uitgeschakeld hoeft te worden. Dan heb je geen last van 30000
kwetsbare installaties (hopelijk)...
Bij Synology werkt dat wel goed, die hoor je dan ook niet steeds hierover.
Ik gok alleen via de GUI, als je zo'n ding koopt is het niet dat je hem alleen kunt gebruiken door je gegevens achter te laten bij QNAP.
Het is aan de eigenaar/gebruiker zelf om dat naar eigen goeddunken te configureren:
- informatie via GUI en/of via mail
- automatische download en/of automatische installatie van kritieke updates aan/uit
In basis wel goed dat dit zelf in te stellen is; nieuwe releases/updates blinken nou niet altijd uit in stabiliteit (niet specifiek bij QNAP overigens), dus soms wil je liever even wachten. In dat geval kan je bijvoorbeeld de toegang via internet tijdelijk uitschakelen tot er een stabiele fix beschikbaar is.
Ik vrees echter dat veel eigenaren/gebruikers nauwelijks weten wat ze aan het doen zijn en dus maar zo'n beetje in het wilde weg opties aan- of uitzetten. Of alles uitzetten dat als 'lastig' ervaren wordt. Dan krijg je dit soort ellende. Eigen schuld dikke bult hoor, in dat geval, geen medelijden mee.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
